Snort
Собственно Snort – the de facto standard for intrusion detection/prevention. Установка особых проблем не вызывает:
# cd /usr/ports/security/snort # make config [ ] DYNAMIC Enable dynamic plugin support [ ] FLEXRESP Flexible response to events [ ] FLEXRESP2 Flexible response to events (version 2) [X] MYSQL Enable MySQL support [ ] ODBC Enable ODBC support [ ] POSTGRESQL Enable PostgreSQL support [ ] PRELUDE Enable Prelude NIDS integration [ ] PERPROFILE Enable Performance Profiling [ ] SNORTSAM Enable output plugin to SnortSam # make install clean
Прописываем в rc.conf:
snort_enable="YES" snort_interface="em0"
После установки регистрируется на оффициальном сайте, для того что бы скачать наборы правил под свою версию snort’а. Я скачал файлик snortrules-snapshot-2.8.tar.gz размером порядка 80 мегабайт. Создаем каталог /usr/local/etc/snort/rules и распаковываем туда содержимое скачанного архива. Настройка производится в файле /usr/local/etc/snort/snort.conf.
Настройка MySQL: Добавляем пользователя:
mysql> grant all on snort.* to snort@localhost identified by 'snort';
Создаем таблицы:
$ mysql -u snort -p snort < /usr/ports/security/snort/work/snort-2.8.2.2/schemas/create_mysql
Включаем вывод в базу в файле snort.conf:
output database: log, mysql, user=snort password=password dbname=snort host=localhost
Snort умеет работать в 3-х режимах:
- Анализатор пакетов – аналог tcpdump
- Регистратор пакетов – записывает траффик в файл
- Сетевая система обнаружения вторжений
Опции командной строки характерные для всех режимов работы:
-i Listen on interface -p Disable promiscuous mode sniffing <h1></h1> Опции командной строки характерные для режима анализатора пакетов: <pre lang="cli">-d Dump the Application Layer -e Display the second layer header info -v Be verbose -q Quiet. Don't show banner and status report -r Read and process tcpdump file Пример - чтение траффика с интерфейса: <pre lang="cli">$ snort -q -i vlan3 -p -d -e -v -n 10 port 80
Пример – чтение траффика из файла:
$ snort -v -r ~/traffic/
Опции командной строки характерные для режима регистрации пакетов:
-l Log to directory Пример - запись траффика в файл: <pre lang="cli">$ snort -i vlan3 -p -l ~/traffic/
Опции командной строки характерные для режима NDIS:
-I Add Interface name to alert output -A Set alert mode: fast, full, console, test or none (alert file alerts only) "unsock" enables UNIX socket logging (experimental).
Пример:
$ snort -i vlan3 -p -A console
Установка BASE (Basic Analysis and Security Engine)
Use 'make config' to modify these settings $ make install clean
Программа устанавливается в /usr/local/www/base. Делаем алиас или симлинк для веб-сервера и открывает в браузере. Начинаем инсталяцию. Особенности: – делаем каталог base доступным для записи веб-сервером; – в качестве “Path to ADODB” вводим /usr/local/share/adodb.
Ссылки:
- http://www.ibm.com/developerworks/web/library/wa-snort1/
- http://www.emergingthreats.net/ – сообщество, разрабатывающее правила
Иллюстрация с сайта snortattack.org – Snort в режиме работы Inline:
